Estatísticas, tendências e fatos imperdíveis sobre ransomware

Embora as equipes de TI e os MSPs continuem a aumentar seus esforços de segurança, os ataques de ransomware não mostram sinais de desaceleração. De acordo comalgumas estatísticas do , espera-se que o crime cibernético custe ao mundo US$ 10,5 trilhões por ano até 2025. Sim, você leu certo. Dez trilhões e meio de dólares. Para colocar isso em perspectiva: Se o crime cibernético fosse medido como um país, seria uma das maiores economias do mundo, logo atrás da China e dos EUA.

Sim: Definitivamente, não estamos falando de amendoim aqui.

Nesta publicação, falaremos sobre alguns fatos sobre ransomware que mudaram para sempre o cenário atual de ameaças cibernéticas antes de mergulharmos em algumasestatísticas sobre ransomware de 2024-2025 .

Quão comum é o ransomware?

Nenhuma discussão sobre estatísticas de ransomware estaria completa sem antes responder à pergunta: “Com que frequência ocorrem os ataques de ransomware?”

A resposta é simples, mas requer mais explicações. As estatísticas mais recentes de ataques de ransomware sugerem que há 4 .000 ataques de ransomware por dia, ou cerca de um ataque a cada 2 segundos.

Mas precisamos analisar o “porquê” dessas estatísticas. Claro, são muitos ataques a serem considerados, mas por que essas estatísticas de ransomware ainda existem? Todo mundo e suas mães provavelmente já ouviram falar do ransomware , mas poucos realmente sabem o quanto ele é uma ameaça. Portanto, aqui estão alguns fatos sobre ransomware a serem considerados.

Em 2023, cerca de 7 em cada 10 ataques cibernéticos relatados em todo o mundo foram ransomware, com mais de 317 milhões de tentativas registradas. E, infelizmente, os Estados Unidos continuam sendo um dos alvos favoritos dos agentes de ameaças. Somente no terceiro trimestre de 2024 , o setor de saúde foi o mais afetado nos EUA, com 18,6% dos ataques anuais direcionados ao setor.

E isso é apenas o que foi registrado e publicado on-line. Os especialistas em TI concordam que em 2025 haverá mais ameaças à segurança cibernética para todos os tipos de organizações em todos os setores. Portanto, embora o conceito de “ransomware” possa não ser novo, ele continua a ser uma grande ameaça para as empresas em todo o mundo.

Como o ransomware evoluiu?

No centro da evolução do ransomware estava uma grande mudança das campanhas de alto volume e baixo retorno (pense em campanhas de spam em massa e de kits de exploração) em favor de ataques de baixo volume e alto retorno, visando especificamente empresas e organizações que

a) ter os fundos/cobertura de seguro necessários para pagar grandes pedidos de resgate; e

b) são especialmente sensíveis ao tempo de inatividade (e, portanto, mais propensos a pagar).

Além disso, atores ruins ficaram espertos. À medida que as organizações começaram a aproveitar novas tecnologias, como a IA eo aprendizado de máquina , o mesmo aconteceu com elas. Os criminosos cibernéticos começaram a pesquisar seus alvos, explorando vulnerabilidades não corrigidas e visando vários membros da equipe que são mais suscetíveis a clicar em um e-mail ou link malicioso (também conhecido como spear phishing).

A empresa de segurança CrowdStrike apelidou essa abordagem de “caça grossa”, e é um modelo que está sendo proliferado por muitas operações ativas de ransomware até hoje. Discutimos isso mais detalhadamente em nosso artigo sobreas estatísticas de segurança cibernética de 2024 nos EUA & Reino Unido.

Vamos examinar as duas principais(e recentes) variantes de ransomware que moldaram nossa perspectiva atual e o design das estratégiasde segurança cibernética do  .

Akira

O ransomware Akira foi lançado pela primeira vez em março de 2023. Começou a chamar a atenção por sua “estética retrô” exclusiva aplicada a seus ataques. Os criminosos cibernéticos usaram táticas de extorsão múltipla e hospedaram um site baseado em TOR onde publicaram informações de identificação pessoal(PII) de indivíduos explorados e suas organizações.

As vítimas desses ataques eram então contatadas para pedir resgate, muitas vezes chegando a centenas de milhões de dólares. No início de 2024, os agentes da ameaça Akira já haviam explorado mais de 250 organizações e reivindicado aproximadamente US$ 42 milhões em receitas de ransomware, contribuindo para as estatísticas atuais de ransomware.

O ransomware Akira é tão persistente que até mesmo a Cybersecurity & Infrastructure Security Agency (CISA) divulgou diretrizes especiais para detectá-lo, preveni-lo e corrigi-lo.

BlackCat

O BlackCat, também conhecido como Noberus ou ALPHV, é um tipo especial de malware vinculado ao DarkSide e ao BlackMatter, dois grupos de ransomware agora extintos. Ele apareceu pela primeira vez em 2021, mas ganhou notoriedade em 2024 por causa de sua expansão. Particularmente, o BlackCat comprometeu com sucesso osite Change Healthcare e recebeu um resgate alto – algo que discutimos em detalhes em nossashistórias de horror de TI .

O BlackCat é agora uma das formas mais ativas de ransomware, e os especialistas estão tentando capturar suas novas variações antes que elas possam comprometer outros setores.

A parte complicada da detecção do BlackCat é que ele funciona de várias maneiras. Os agentes de ameaças que usam o BlackCat podem acessar seus ambientes por meio de credenciais comprometidas, erro humano e outros tipos devulnerabilidades de segurança . Isso também contribuiu para que as estatísticas recentes de ransomware tenham aumentado exponencialmente em apenas alguns anos.

Estatísticas de ransomware para 2023 a 2025

Estatísticas de ataques de ransomware 1: O pagamento médio de ransomware

No últimorelatório do Statistica, foi constatado que o valor total de dinheiro recebido por agentes de ransomware em 2023 foi de US$ 1,1 bilhão, umaumento de 140% emrelação ao ano anterior .

Mas lembre-se do que mencionamos em nossa introdução. Até o próximo ano, espera-se que esse valor chegue a US$ 10,5 TRILHÕES até 2025. Isso representa um aumento de 954.000%. Essas estatísticas de ransomware representam um novo pico na atividade global de ransomware, que pode ser parcialmente explicado pela pandemia. À medida que mais pessoas ficavam em casa e estavam on-line, os agentes de ameaças exploravam as vulnerabilidades, criando um aumento maciço nas estatísticas de ransomware por ano.

As exigências dos criminosos cibernéticos também distorceram as estatísticas de ransomware, com o resgate médio sendo de um milhão de dólares ou mais(Sophos), mas o custo médio de recuperação sendo de US$ 2,73 milhões. Isso se traduz em cerca de US$ 3 milhões, no mínimo, para recuperar seus dados e voltar a operar.

A quantidade de dinheiro que está sendo canalizada de volta para esses criminosos para financiar futuros ataques é profundamente preocupante.  O tamanho e a quantidade de resgates pagos fizeram com que o mercado global de seguro cibernético fosse  avaliado em US$ 13 bilhões em 2023, quase o dobro do valor estimado em 2020.

Por que os invasores são tão bem-sucedidos em convencer as organizações a pagar? A principal resposta é o tempo de inatividade.

Estatísticas de ataques de ransomware 2: Tempo médio de inatividade

 

Além do aumento vertiginoso nos valores dos resgates, outro número extremamente significativo relacionado aos ataques atuais de ransomware é 24 – esse é o número médio de dias que as empresas dos EUA estão passando por tempo de inatividade relacionado à infecção (de acordo com Statistica), embora alguns relatórios sugiram que esse número seja, na verdade, 21 dias)

Não é de surpreender, portanto, que os custos associados ao tempo de inatividade relacionado ao ransomware também estejam aumentando.

Conforme mencionado anteriormente, estatísticas recentes sobre ransomware mostram que o custo médio global de recuperação de um ataque de ransomware em 2024 chegou a US$ 2,73 milhões. Esse número inclui o tempo de inatividade, a perda de receita e qualquer esforço de recuperação. Isso representa um aumento de 500% em relação a 2023(Sophos).

Esses números são preocupantes. Quantas empresas (especialmente as pequenas e médias) podem se dar ao luxo de perder milhões de dólares e passar por semanas (se não meses) de tempo de inatividade e interrupção?

Eles também estão levando as organizações (e seus provedores de seguro) a considerar todas as opções, especialmente quando os backups funcionais não estão disponíveis. Mesmo quando os backups funcionais estão disponíveis, no entanto, houve casos em que as organizações determinaram que pagar o resgate e arriscar-se com as chaves de descriptografia é potencialmente menos dispendioso do que o tempo e o esforço necessários para restaurar seus sistemas por conta própria.

Outras estatísticas de ataques de ransomware

• Mais de 317 milhões de tentativas de ransomware foram registradas em 2024(Statistica).
• 32% dos ataques começaram com uma vulnerabilidade não corrigida(Sophos).
• 70% dos ataques resultaram em criptografia de dados(Sophos).
• 24% das empresas que pagam entregam o valor originalmente solicitado, e 44% relatam ter pago menos do que o resgate exigido(Sophos).
• 94% das organizações atingidas por ransomware em 2023 disseram que os criminosos cibernéticos tentaram comprometer seus backups(Sophos).
• Os ataques de ransomware a empresas de manufatura custaram cerca de US$ 17 bilhões em tempo de inatividade desde 2018(Infosecurity Magazine).
• O ransomware custa às escolas cerca de US$ 550,00 por dia em tempo de inatividade(Campus Technology).
• aumento de 76% no número de vítimas de roubo de dados nomeadas na dark web(CrowdStrike).
• 75% dos ataques foram livres de malware(CrowdStrike).
• 56% das organizações afirmam que é mais provável que sejam alvo de ataques de ransomware em 2024(Ransomware.org).
• 15% das organizações dizem que não estão preparadas para ataques de vários vetores(Ransomware.org).

Infelizmente, essa lista de estatísticas de ransomware pode continuar, mas uma tendência é clara: o ransomware ainda é uma ameaça muito grande hoje, como era antes, e a ameaça está aumentando em muitas frentes. Como o número de ataques de ransomware e o custo para as empresas estão aumentando, as equipes de TI precisam priorizar a segurança para se protegerem dessa ameaça cada vez maior.

Estatísticas de ransomware: Quais empresas são visadas pelo ransomware?

 

Em 2024, o setor de saúde foi o mais afetado por ataques de ransomware nos Estados Unidos, respondendo por 18,6% dos ataques anuais (Statistica). Em seguida, vieram os serviços ao consumidor, com 14,4%, e o setor público, com 11,3%.

O governo tomou a iniciativa de ajudar esses setores a criar mais medidas de segurança cibernética. A CISA, em particular, continua a divulgar diretrizes para os setores de saúde e saúde pública e, atualmente, está trabalhando em conjunto com o FBI para lidar com o ransomware que tem como alvo instituições educacionais.

Para as PMEs, não se trata realmente de uma questão de “se”, mas de “quando”, com 76% delas informando que já sofreram um ataque somente no ano passado (OpenText). 

Saiba como nosso cliente, H.E.R.O.S., conseguiu se recuperar rapidamente de um ataque de ransomware com o mínimo de tempo de inatividade e danos duradouros.

“O NinjaOne salvou nosso negócio”, disse Raffi Kajberouni, Presidente e Gerente Geral. “Nunca pensei que seríamos vítimas de ransomware. Com o apoio do líder da equipe, conseguimos restaurar toda a nossa rede de computadores em quatro dias.”

Leia maishistórias de clientes do  NinjaOne.

Estatísticas de ransomware e MSPs

Uma tendência especialmente preocupante para nós que trabalhamos na área de MSP é o aumento de ataques direcionados especificamente a provedores de serviços gerenciados. De acordo com a OpenText, 62% dos ataques de ransomware em 2024 tiveram origem em um parceiro da cadeia de suprimentos de software.

Além disso, 74% das organizações que sofreram um ataque de ransomware em 2023 têm um processo formal para avaliar as práticas de segurança cibernética de seus fornecedores de software. Isso deixa um número surpreendente de 26% que atualmente estão gerenciando sua segurança cibernética com uma atitude de “viver e deixar morrer”. (Dica profissional: Especialistas em segurança cibernética não recomendam isso.)

Cobrimos a tendência em detalhes em nosso webinar com a Huntress Labs, “How MSPs Can Survive a Coordinated Ransomware Attack” (Como os MSPs podem sobreviver a um ataque coordenado de ransomware ) e publicamos um e-book gratuito, “Ransomware: Os perigos de esperar para fazer o backup“.

A tentação de comprometer os MSPs é óbvia: ao fazer isso, os invasores podem ter acesso às suas poderosas ferramentas de gerenciamento remoto e, por extensão, a todos os seus clientes. No entanto, a comunidade MSP está reagindo. Os MSPs e fornecedores de todo o espaço estão intensificando proativamente seu jogo, exigindo maior segurança de seus colegas e se unindo para compartilhar informações vitais sobre ameaças.

O que você, como provedor ou cliente de um MSP, pode fazer para se proteger?

Como as equipes de TI e os MSPs podem evitar ataques de ransomware

A boa notícia é que, apesar dessas estatísticas de ransomware e da crescente maturidade e sofisticação das operações de ransomware, a grande maioria dos ataques pode ser evitada com cinco medidas:

1. RDP seguro: Não o exponha na Internet! Bloqueie-o(como fazer aqui).
2. Desativar as macros do Office (quando possível): O mesmo vale para OLE e DDE(veja como)
3. Habilite a MFA em tudo: Isso ajuda a evitar o controle de contas e o sequestro de ferramentas.
4. Investir em filtragem de e-mail e DNS: O objetivo é proteger os usuários finais, eliminando o máximo possível de coisas ruins antes que elas cheguem até eles.
5. Invista no gerenciamento de patches: Automatize as coisas o máximo possível com uma solução que possa aplicar atualizações do Windows e de terceiros.

Obviamente, utilize uma solução de backup configurada corretamente e teste de fato a recuperação de backups em escala. É fundamental ter vários pontos de restauração e replicação fora do local. Lembre-se do Backup de Shrodinger: “A condição de qualquer backup é desconhecida até que uma restauração seja tentada.”

Essa é apenas a ponta do iceberg no que diz respeito às atividades defensivas envolvidas, mas como a grande maioria dos ransomwares é entregue por meio de comprometimento de RDP e e-mails (geralmente com documentos mal-intencionados do Office anexados), fazer apenas essas cinco coisas reduzirá drasticamente seu risco.

Para aproveitar esses elementos essenciais, também é importante monitorar proativamente os sinais de atividade de ransomware. Nosso vídeo em How to Detect Ransomware: Monitoring & Alerting explora maneiras práticas pelas quais as equipes de TI e os MSPs podem detectar ameaças antecipadamente e responder mais rapidamente.

Como a NinjaOne aborda essas estatísticas de ransomware

É útil ter uma solução de gerenciamento de TI e RMM, como o NinjaOne, que permita que você estabeleça a base para uma postura sólida de segurança de TI. Com o gerenciamento automatizado de patches, backups seguros e visibilidade completa da sua infraestrutura de TI, o NinjaOne RMM ajuda a evitar ataques de ransomware desde o início.

Se estiver pronto, solicite umorçamento gratuito em , inscreva-se para umaavaliação gratuita de 14 dias em ouassista a uma demonstração em .